-1

我使用 delphi 编写了一个小应用程序来更新我的 twitter 状态。我使用 Indy 10 和 OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态。

问题是,如果我使用“http 分析器”之类的程序,我可以看到请求的标头,因此我可以看到像 consumer_key 这样的敏感信息。

这是正常的还是表明我没有正确设置 iohandler (TIdSSLIOHandlerSocketOpenSSL)?

mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;
4

1 回答 1

1

通过提供自己的 SSL 证书,HTTP 分析器能够监控 HTTP 流量,就好像它是未加密的一样。我猜您必须将分析仪 IP 地址和端口设置为仅代理,并在客户端中保持目标服务器地址和端口不变。然后分析器将能够使用自己的密钥解密您的客户端数据,并将其转发到目标服务器。(这与“中间人”攻击的工作方式相同)

所以是的,这种类型的 HTTP 分析器(例如 Fiddler)是正常的

于 2013-06-19T15:35:44.960 回答